深入理解Https如何保證通信安全

點(diǎn)擊上方藍(lán)色字體，選擇“標(biāo)星公眾號”

優(yōu)質(zhì)文章，第一時(shí)間送達(dá)

作為一名ABC搬運(yùn)工，我相信很多人都知道Https，也都知道它是用來保證通信安全的，但是如果你沒有深入了解過Https，可能并不知道它是如何保證通信安全的。我也是借著這次機(jī)會，和大家分享下我深入了解的一個(gè)過程。

本文主要帶著以下幾個(gè)問題進(jìn)行探討：

1、什么是Https？

2、Https和Http有什么區(qū)別？

3、Https是如何保證通信安全的，它解決了哪些問題？

1.離不開的Https基礎(chǔ)理論

HTTPS是以安全為目標(biāo)的 HTTP 通道，在HTTP的基礎(chǔ)上通過傳輸加密和身份認(rèn)證保證了傳輸過程的安全性。

通過上面的定義，我們關(guān)注到兩點(diǎn)：傳輸加密、身份認(rèn)證。那我們先來了解下Https中將要用到的加密技術(shù)和認(rèn)證技術(shù)。

1）對稱加密

加密數(shù)據(jù)，需要秘鑰對（加密秘鑰和解密秘鑰），對稱加密很容易理解，即：通信雙方分別持有的加密秘鑰和解密秘鑰是一樣的。

2）非對稱加密

非對稱加密從字面上理解，即：通信雙方分別持有的加密秘鑰和解密秘鑰是不一樣的。我們將私人持有的秘鑰稱為私鑰，將公開的允許大多數(shù)人持有的秘鑰稱為公鑰，現(xiàn)實(shí)場景中，通常是使用公鑰加密通信數(shù)據(jù)，然后私鑰解密保證數(shù)據(jù)安全性。

3）數(shù)字簽名

保證數(shù)據(jù)傳輸?shù)耐暾院桶l(fā)送方可信。數(shù)字簽名是非對稱密鑰加密技術(shù)與數(shù)字摘要技術(shù)的應(yīng)用，通常使用hash算法對數(shù)據(jù)進(jìn)行數(shù)字摘要（生成一段唯一的數(shù)據(jù)標(biāo)識，該過程不可逆），然后使用私鑰對數(shù)字摘要進(jìn)行加密；接收方收到數(shù)據(jù)后，使用發(fā)送放提供的公鑰對數(shù)據(jù)解密，確保數(shù)據(jù)是發(fā)送方發(fā)送的（如果不能解密，說明發(fā)送方并不是真實(shí)的），然后使用相同的hash算法對解密的數(shù)據(jù)進(jìn)行數(shù)字摘要，比較前后兩次數(shù)字摘要信息，如果相同則說明數(shù)據(jù)未被修改，從而確保數(shù)據(jù)完整性。

4）數(shù)字證書

數(shù)字證書又稱數(shù)字標(biāo)識，由用戶申請，證書簽證機(jī)關(guān)CA對其核實(shí)簽發(fā)，對用戶的公鑰認(rèn)證。前面提到的幾種技術(shù)都是在發(fā)送方正確的情況下所做的加密認(rèn)證技術(shù)，然而當(dāng)發(fā)送方本身就是偽造的，那么后續(xù)的加密認(rèn)證必然沒有意義。而證書簽證機(jī)構(gòu)一般都是權(quán)威機(jī)構(gòu)，通過其簽發(fā)的證書確保了發(fā)送方提供的公鑰是可信的。

上面的理論描述可能理解起來不是很直接，大家可以繼續(xù)跟著后面的分析過程，逐步滲透理解。

2.和Http區(qū)別

 Https和Http的區(qū)別，我們在這里不做詳細(xì)描述，主要通過一張圖了解一下：

通過上圖我們可以直觀的發(fā)現(xiàn)，HTTPS是在HTTP的基礎(chǔ)上加了SSL安全協(xié)議層，通俗的理解HTTPS=HTTP+SSL，SSL安全協(xié)議保證了通信過程的安全性。

主要體現(xiàn)在以下幾方面：

1）信息加密安全

2）信息完整性

3）身份認(rèn)證

3.如何保證通信安全

我們先來看下HTTP的一次數(shù)據(jù)通信過程。TCP建立連接和斷開連接的過程，這里就不再描述了。

                                                          圖一

存在的安全性問題：

1）圖一過程①和②都有可能被黑客截取，用戶的信息暴露，非常危險(xiǎn)。

HTTPS為了解決這個(gè)問題，允許通信雙方共同約定一種加解密方式，即對稱加密技術(shù)，僅通信雙方知曉密鑰以確保傳輸數(shù)據(jù)的安全；可是依然存在一個(gè)問題：通行雙方如何交互這個(gè)密鑰呢？

于是又提出通過非對稱加密技術(shù)實(shí)現(xiàn)密鑰的交互，即服務(wù)端向客戶端提供自己的公鑰，然后客戶端通過公鑰加密秘鑰傳輸給服務(wù)端，服務(wù)端收到后使用私鑰解密，獲取密鑰，后續(xù)通信雙方通過該對稱密鑰進(jìn)行通信。

                                                      圖二

2）圖二中的過程②，如果被黑客攔截會發(fā)生什么？

黑客可以偽造成服務(wù)器，將黑客自己的公鑰分發(fā)給客戶端，也就是說“服務(wù)器”本身就是個(gè)假的，這樣的話圖二中過程③客戶端加密的密鑰就很容易被黑客獲取，顯然后續(xù)的通信過程一直被黑客監(jiān)聽，信息完全暴露。

HTTPS為了解決這個(gè)問題提出了“數(shù)字證書”，由于數(shù)字證書是權(quán)威機(jī)構(gòu)頒發(fā)的，申請者需要提交很多資料審核，正常情況下偽造者很難申請到證書，因此也就保證了服務(wù)端提供的公鑰是安全可信的。

                                                                                                   圖三

3)圖三中的過程②頒發(fā)的證書，被黑客攔截篡改怎么辦？

如果證書被黑客攔截了。雖然黑客拿著證書也沒啥用，但是萬一黑客搗亂把證書信息篡改了，那么客戶端接收后就根本不知道了，同樣存在安全隱患。

所以，CA機(jī)構(gòu)在生成證書的時(shí)候就使用了“數(shù)字簽名”，保證了證書的完整性。

原理：CA機(jī)構(gòu)使用Hash算法得到證書明文信息的“信息摘要”，然后使用自己的私鑰對“信息摘要”加密，生成數(shù)字簽名一同放在數(shù)字證書中；當(dāng)客戶端收到服務(wù)器發(fā)送的證書時(shí)，可以通過證書中的Hash算法對證書信息簽名得到“信息摘要”，然后使用CA機(jī)構(gòu)的公鑰對原證書中的簽名信息解密，如果解密后的“信息摘要”和自簽名得到的一致，則說明沒問題。（CA機(jī)構(gòu)一般都是權(quán)威性的，所以通常它的公鑰都是內(nèi)置在客戶端系統(tǒng)中的）

 

4）同樣的問題，客戶端和服務(wù)端在通信過程中，雖然黑客沒有“會話密鑰”無法獲取真實(shí)的傳輸信息，但是黑客可以“修改數(shù)據(jù)”，比如刪除一段信息，這樣通信雙方拿到數(shù)據(jù)后，并不知道數(shù)據(jù)被修改了。

HTTPS為了保證數(shù)據(jù)的完整性，同樣使用了“數(shù)字簽名”，使用的是HMAC算法進(jìn)行簽名，保證了通行過程中的信息完整性。

 

至此，HTTPS已經(jīng)幫我們實(shí)現(xiàn)了通信雙方之間的安全通信。

  作者 |  跳躍的鍵盤手

來源 |  cnblogs.com/chenxf1117/p/15127479.html

• 76套java從入門到精通實(shí)戰(zhàn)課程分享

• 流弊！2021最新 Spring 面試題

• SpringBoot實(shí)現(xiàn)的網(wǎng)頁版聊天室項(xiàng)目

• 阿里分布式事務(wù)Seata實(shí)戰(zhàn)視頻教程

• MySQL性能優(yōu)化指南